SlideShare a Scribd company logo

Tổng quan về Access List

Download as DOCX, PDF
N
nguyenhoangbao
Automotive
1 of 13
TỔNG QUAN VỀ ACCESS-LIST I- MỘT SỐ KHÁI NIỆM VỀ ACCESS-LIST 1. ACL(Access control lists) là gì? - ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port. 2. Tại sao phải sữ dụng ACLs? - Quản lý các IP traffic - Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các packet qua router • Chức năng: +Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing) + Thuận tiện cho việc lọc gói tin ip + Cung cấp tính sẵn sàn mạng cao 3. Các loại ACLs Có 2 loại Access lists là: Standard Access lists và Extended Access lists
- Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích (Destination). - Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport layer header”. Nên đặt gần nguồn (source). 4. Cách đặt ACLs. a- Inbound ACLs. + Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound interface). Tại đây những gói tin sẽ “dropped” nếu không trùng với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao (transmission). b- Outbound ACLs. +Outbound: là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound queue). 5. Hoạt động của ACLs. - ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit. • Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách. • Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích. • Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không. Nếu không thì packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó. 6. Một số điểm cần lưu ý * Chỉ có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi interface. Một interface có thể có nhiều ACL. * Router không thể lọc traffic mà bắt đầu từ chính nó. * Câu lệnh nào đặt trước thì xử lý trước. Khi 1 câu lệnh mới thêm vào danh sách, nó sẽ đặt cuối danh sách. * Standard ACLs: Nên đặt gần đích của traffic.
* Extended ACLs: Nên đặt gần nguồn của traffic. * Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo chiều “OUT” II- CẤU HÌNH ACCESS-LIST (ACLs) 1. Standard Access lists. #: Standard ACLs sử dụng số từ 1 -> 99 hay 1300 -> 1999. Có 2 bước để tạo ACLs: + Định nghĩa danh sách ACLs để đặt vào interface. router(config)#access-list [#] [permit deny] [wildcard mask] [log] Hoặc là : router(config)#access-list [#] [permit deny] [host any] ßThường thì ta dùng lệnh này Sau đó đặt danh sách(ACLs) vào interface trên router mà ta muốn chặn gói tin ngay tại đó. router(config)#interface [interface-number] router(config-if)#ip access-group [#] [in out] – interface access control Ví dụ cụ thể
Ta thực hiện trên mô hình sau đã đuợc cấu hình hoạt động trên giao thức RIP các router và pc đã ping được với nhau. • Tạo access list tại global config mode: Tạo access-list trên R2 cấm PC0(10.0.0.2) vào mạng 220.0.0.0ngay tại cổng vào của Router 2. R2(config)# access-list 1 deny host 10.0.0.2 R2(config)# access-list 1 permit any <<< Chú ý sau khi đã liệt kê các danh sách địa chi muốn cấp hoặc cho phép thì cuối cùng phải đặt lệnh permit any bởi vì mặc định của router sau khi ta thiêt lập danh sách thì kể từ sau đó router sẽ deny tất cả, vì vậy ta phải dùng lệnh permit any để thay đổi. • Áp access-list vào cổng. –Áp access-list này vào Inbound s0/3/0 trên R2. –Khi áp access-list vào một cổng, xem như đang trên router. Vì vậy nếu muốn cấm dữ liệu đi ra khỏi cổng, ta dùng từ khóa “out”; muốn cấm dữ liệu vào một cổng, ta dùng từ khóa “in”. R2(config)# interface s0/3/0 R2(config-if)# ip access-group 1 out
Sau đó ta vào PC0(10.0.0.2) dùng lệnh ping vào mạng 220.0.0.0 để kiểm tra.
Ta thử dùng máy PC1(10.0.0.3) ping vào mạng 220.0.0.0.
–Vì standard access-list chỉ kiểm tra được địa chỉ nguồn nên phải áp access-list vào cổng gần đích nhất. 2. Extended Access lists *: Extanded ACLs sử dụng số từ 100 -> 199 hay 2000 -> 2699. Cũng giống standard ACL và thêm một số cách lọc gói tin như: + Source and destination IP address (Địa chỉ nguồn địa chỉ đích) + IP protocol – TCP, UDP, ICMP, and so on( cấm giao thức) + Port information (WWW, DNS, FTP, TELNET, etc)( cấm các dịch vụ thông qua các cổng hoạt động của nó) Các lệnh cấu hình: Ta cũng thực hiện 2 bước giống như Standard ACLs • Tạo access list tại global config mode: router(config)#access-list [#] [permit deny] [protocol] [wildcard mask] [operator source port] [destination address] [wildcard mask] [operator destination port] [log] Hoặc router(config)#access-list [#] [permit deny] [protocol] [host] [host] [destination address][ lt, gt, neq, eq, range] [port number]
• Áp access-list vào cổng. router(config)#interface [interface-number] router(config-if)#ip access-group [#] [in out] – interface access control Ví dụ: Tạo ACls tại router R1 cấm R2 truy cập vào Router 1 dưới giao thức TCP bằng dịch vụ Telnet. Đầu tiên ta mở dịch vụ telnet cho các Router Tại global config mode ta gõ các lệnh sau. router(config)#line vty 0 4 router(config)#password telnet <<<<Đặt pass tùy ý cho telnet router(config)#login
Khi cấu hình xong ta đứng tại 1 Router nào đó telnet qua Các router còn lại để Test.
Vậy là các Router đã telnet được với nhau Bây giờ ta thiết lập ACL tại R1 R1(config)# access-list 101 deny TCP host 200.0.0.2 host 200.0.0.1 eq telnet R1(config)# access-list 101 deny tcp any any Áp ACL vào cổng muốn chặn lại ngay đó. R1(config)# interface s0/3/0 R1(config-if)#ip access-group 101 in
Sau khi cấu hình xong ta Telnet thử Đứng tại Router 2 Telnet qua Router 1 bằng lệnh R2#telnet 200.0.0.1
Router 1 không trả lời vậy là ta đã cấu hình thành công Một số port thông dụng: ——————————————————————– Port Number ——-TCP port names —-UDP port names ——————————————————————– 6 ———————-TCP————————————– 21———————-FTP————————————– 23 ———————TELNET——————————– 25 ———————SMTP———————————— 53———————————————-DNS————- 69 ———————————————TFTP————- 80 ———————WWW———————————– 161 ——————————————–SNMP———– 520 ——————————————–RIP———— III QUẢN LÝ CÁC ACCESS-LIST (ACLs) • Hiển thị tất cả ACLs đang sử dụng. Router(config)#show running-config • Xem ACLs hoạt động trên interface nào đó. Router(config)#show interface [ # ]
• Xem việc đặt và hướng đi của ip ACLs: Router(config)#show ip interfaces [ # ] • Xem những câu lệnh ACLs: Router(config)#show access-list [ # ] • Hiển thị tất cả ip ACLs: Router#show ip access-list • Hiển thị ip ACL 100: Router#show ip access-list 100 • Xóa bộ đếm (to clear the counters use): router(config)#show access-list [ # ] router(config)#clear access-list counter [ # ] • Xóa Access list router(config)#no ip access-list [standard-extended][#] router(config)#interface [interface-number] router(config-if)#no access-list [#] [permit deny] [wildcard mask]

Recommended

Tổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSTổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSThieu Mao
 
Phân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhạm Trung Đức
 
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đĐề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đDịch vụ viết bài trọn gói ZALO: 0909232620
 
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows ServerTài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows ServerDiệp Trần
 
Cài đặt và cấu hình dns server trên windows server 2012
Cài đặt và cấu hình dns server trên windows server 2012Cài đặt và cấu hình dns server trên windows server 2012
Cài đặt và cấu hình dns server trên windows server 2012laonap166
 
Cài đặt web server (linux)-Pham Hoang Phuc-Athena
Cài đặt web server (linux)-Pham Hoang Phuc-AthenaCài đặt web server (linux)-Pham Hoang Phuc-Athena
Cài đặt web server (linux)-Pham Hoang Phuc-AthenaHoàng Phúc Phạm
 
He thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSHe thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSBui Loc
 
Báo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngBáo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngjackjohn45
 

Recommended

Tổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSTổng quan về DoS - DDoS - DRDoS
Tổng quan về DoS - DDoS - DRDoSThieu Mao
 
Phân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhân tích mã độc cơ bản - báo cáo thực tập
Phân tích mã độc cơ bản - báo cáo thực tậpPhạm Trung Đức
 
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đĐề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đDịch vụ viết bài trọn gói ZALO: 0909232620
 
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows ServerTài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows ServerDiệp Trần
 
Cài đặt và cấu hình dns server trên windows server 2012
Cài đặt và cấu hình dns server trên windows server 2012Cài đặt và cấu hình dns server trên windows server 2012
Cài đặt và cấu hình dns server trên windows server 2012laonap166
 
Cài đặt web server (linux)-Pham Hoang Phuc-Athena
Cài đặt web server (linux)-Pham Hoang Phuc-AthenaCài đặt web server (linux)-Pham Hoang Phuc-Athena
Cài đặt web server (linux)-Pham Hoang Phuc-AthenaHoàng Phúc Phạm
 
He thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSHe thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSBui Loc
 
Báo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngBáo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngjackjohn45
 
Snort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comSnort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comphanleson
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsLinh Hoang
 
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạngĐề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạngDịch vụ viết bài trọn gói ZALO: 0909232620
 
Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITNguynMinh294
 
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTBài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTMasterCode.vn
 
Báo cáo snort
Báo cáo snortBáo cáo snort
Báo cáo snortanhkhoa2222
 
Ccna s2
Ccna s2Ccna s2
Ccna s2Thế Anh Nguyễn
 
Báo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpBáo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpLe Trung Hieu
 
Tài liệu tổng kểt môn mạng máy tính
Tài liệu tổng kểt môn mạng máy tínhTài liệu tổng kểt môn mạng máy tính
Tài liệu tổng kểt môn mạng máy tínhJojo Kim
 
chương 4 - TCP/IP - mạng máy tính
chương 4 - TCP/IP - mạng máy tínhchương 4 - TCP/IP - mạng máy tính
chương 4 - TCP/IP - mạng máy tínhQuyên Nguyễn Tố
 
Bài 14: Quản trị File và Print Server - Giáo trình FPT
Bài 14: Quản trị File và Print Server - Giáo trình FPTBài 14: Quản trị File và Print Server - Giáo trình FPT
Bài 14: Quản trị File và Print Server - Giáo trình FPTMasterCode.vn
 
Ôn thi mạng máy tính
Ôn thi mạng máy tínhÔn thi mạng máy tính
Ôn thi mạng máy tínhKinhDinhBach
 
Chia subnetmask
Chia subnetmaskChia subnetmask
Chia subnetmaskptquang160492
 
IDS Snort/SnortSam
IDS Snort/SnortSamIDS Snort/SnortSam
IDS Snort/SnortSamTiki.vn
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Ids
Ids Ids
Ids ducmanhkthd
 
Giáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfGiáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfMan_Ebook
 
XSS & SQL injection
XSS & SQL injectionXSS & SQL injection
XSS & SQL injectionThieu Mao
 
SQL Injection
SQL InjectionSQL Injection
SQL InjectionCongDoanVan1
 
Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY
Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAYĐề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY
Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAYDịch vụ viết bài trọn gói ZALO: 0909232620
 
Báo cáo thực tập tuần 4
Báo cáo thực tập tuần 4Báo cáo thực tập tuần 4
Báo cáo thực tập tuần 4tran thai
 
Bao cao thuc tap eigrp ac_ls
Bao cao thuc tap eigrp ac_lsBao cao thuc tap eigrp ac_ls
Bao cao thuc tap eigrp ac_lsTranQuangChien
 

More Related Content

What's hot

Snort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comSnort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comphanleson
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsLinh Hoang
 
Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITNguynMinh294
 
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTBài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTMasterCode.vn
 
Báo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpBáo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpLe Trung Hieu
 
Tài liệu tổng kểt môn mạng máy tính
Tài liệu tổng kểt môn mạng máy tínhTài liệu tổng kểt môn mạng máy tính
Tài liệu tổng kểt môn mạng máy tínhJojo Kim
 
chương 4 - TCP/IP - mạng máy tính
chương 4 - TCP/IP - mạng máy tínhchương 4 - TCP/IP - mạng máy tính
chương 4 - TCP/IP - mạng máy tínhQuyên Nguyễn Tố
 
Bài 14: Quản trị File và Print Server - Giáo trình FPT
Bài 14: Quản trị File và Print Server - Giáo trình FPTBài 14: Quản trị File và Print Server - Giáo trình FPT
Bài 14: Quản trị File và Print Server - Giáo trình FPTMasterCode.vn
 
Ôn thi mạng máy tính
Ôn thi mạng máy tínhÔn thi mạng máy tính
Ôn thi mạng máy tínhKinhDinhBach
 
IDS Snort/SnortSam
IDS Snort/SnortSamIDS Snort/SnortSam
IDS Snort/SnortSamTiki.vn
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Giáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfGiáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfMan_Ebook
 
XSS & SQL injection
XSS & SQL injectionXSS & SQL injection
XSS & SQL injectionThieu Mao
 

What's hot (20)

Snort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.comSnort it-slideshares.blogspot.com
Snort it-slideshares.blogspot.com
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
 
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạngĐề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
Đề tài: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng
 
Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTIT
 
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTBài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPT
 
Báo cáo snort
Báo cáo snortBáo cáo snort
Báo cáo snort
 
Ccna s2
Ccna s2Ccna s2
Ccna s2
 
Báo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpBáo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệp
 
Tài liệu tổng kểt môn mạng máy tính
Tài liệu tổng kểt môn mạng máy tínhTài liệu tổng kểt môn mạng máy tính
Tài liệu tổng kểt môn mạng máy tính
 
chương 4 - TCP/IP - mạng máy tính
chương 4 - TCP/IP - mạng máy tínhchương 4 - TCP/IP - mạng máy tính
chương 4 - TCP/IP - mạng máy tính
 
Bài 14: Quản trị File và Print Server - Giáo trình FPT
Bài 14: Quản trị File và Print Server - Giáo trình FPTBài 14: Quản trị File và Print Server - Giáo trình FPT
Bài 14: Quản trị File và Print Server - Giáo trình FPT
 
Ôn thi mạng máy tính
Ôn thi mạng máy tínhÔn thi mạng máy tính
Ôn thi mạng máy tính
 
Chia subnetmask
Chia subnetmaskChia subnetmask
Chia subnetmask
 
IDS Snort/SnortSam
IDS Snort/SnortSamIDS Snort/SnortSam
IDS Snort/SnortSam
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall Endian
 
Ids
Ids Ids
Ids
 
Giáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfGiáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdf
 
XSS & SQL injection
XSS & SQL injectionXSS & SQL injection
XSS & SQL injection
 
SQL Injection
SQL InjectionSQL Injection
SQL Injection
 
Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY
Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAYĐề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY
Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY
 

Viewers also liked

Báo cáo thực tập tuần 4
Báo cáo thực tập tuần 4Báo cáo thực tập tuần 4
Báo cáo thực tập tuần 4tran thai
 
Bao cao thuc tap eigrp ac_ls
Bao cao thuc tap eigrp ac_lsBao cao thuc tap eigrp ac_ls
Bao cao thuc tap eigrp ac_lsTranQuangChien
 
Cấu hình RIP v2
Cấu hình RIP v2Cấu hình RIP v2
Cấu hình RIP v2shinibi
 
Bao cao mang truyen dan quang
Bao cao mang truyen dan quangBao cao mang truyen dan quang
Bao cao mang truyen dan quangNhung Pham
 
đinh tuyến tĩnh và định tuyến động
đinh tuyến tĩnh và định tuyến độngđinh tuyến tĩnh và định tuyến động
đinh tuyến tĩnh và định tuyến độngnguyenhoangbao
 
Bai giang thong_tin_quang
Bai giang thong_tin_quangBai giang thong_tin_quang
Bai giang thong_tin_quangnothingx0x
 
85898174 mạng-truy-nhập-quang-đến-thue-bao-gpon
85898174 mạng-truy-nhập-quang-đến-thue-bao-gpon85898174 mạng-truy-nhập-quang-đến-thue-bao-gpon
85898174 mạng-truy-nhập-quang-đến-thue-bao-gponKhoa Nguyen
 
Squid proxy linux
Squid proxy linuxSquid proxy linux
Squid proxy linuxPhuc Tran
 
Alcatel lucent pt telkom turn-up guide v1
Alcatel lucent pt telkom turn-up guide v1Alcatel lucent pt telkom turn-up guide v1
Alcatel lucent pt telkom turn-up guide v1Wahyu Nasution
 
Slide nagios
Slide nagiosSlide nagios
Slide nagiosMinh Le
 
Ngon ngu lap trinh c# tieng viet - bach khoaaptech.com
Ngon ngu lap trinh c# tieng viet - bach khoaaptech.comNgon ngu lap trinh c# tieng viet - bach khoaaptech.com
Ngon ngu lap trinh c# tieng viet - bach khoaaptech.comNguyễn Thành
 
giai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmp
giai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmpgiai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmp
giai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmpPham Huynh
 
Lap trinh website dotnet c#
Lap trinh website dotnet c#Lap trinh website dotnet c#
Lap trinh website dotnet c#thanh nguyen
 
Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...
Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...
Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...Duc Tran
 
Lập trình c# cơ bản full
Lập trình c# cơ bản fullLập trình c# cơ bản full
Lập trình c# cơ bản fullGo Up Tien
 
Mạng quang thụ động pon và công nghệ cáp quang thuê bao ftth tài liệu, tai ...
Mạng quang thụ động pon và công nghệ cáp quang thuê bao ftth tài liệu, tai ...Mạng quang thụ động pon và công nghệ cáp quang thuê bao ftth tài liệu, tai ...
Mạng quang thụ động pon và công nghệ cáp quang thuê bao ftth tài liệu, tai ...namvoqt
 

Viewers also liked (20)

Báo cáo thực tập tuần 4
Báo cáo thực tập tuần 4Báo cáo thực tập tuần 4
Báo cáo thực tập tuần 4
 
Bao cao thuc tap eigrp ac_ls
Bao cao thuc tap eigrp ac_lsBao cao thuc tap eigrp ac_ls
Bao cao thuc tap eigrp ac_ls
 
bao cáo cuối kỳ
bao cáo cuối kỳ bao cáo cuối kỳ
bao cáo cuối kỳ
 
địNh tuyến tĩnh
địNh tuyến tĩnhđịNh tuyến tĩnh
địNh tuyến tĩnh
 
Cấu hình RIP v2
Cấu hình RIP v2Cấu hình RIP v2
Cấu hình RIP v2
 
Bao cao mang truyen dan quang
Bao cao mang truyen dan quangBao cao mang truyen dan quang
Bao cao mang truyen dan quang
 
Giao trinh mang can ban
Giao trinh mang can banGiao trinh mang can ban
Giao trinh mang can ban
 
đinh tuyến tĩnh và định tuyến động
đinh tuyến tĩnh và định tuyến độngđinh tuyến tĩnh và định tuyến động
đinh tuyến tĩnh và định tuyến động
 
Bai giang thong_tin_quang
Bai giang thong_tin_quangBai giang thong_tin_quang
Bai giang thong_tin_quang
 
85898174 mạng-truy-nhập-quang-đến-thue-bao-gpon
85898174 mạng-truy-nhập-quang-đến-thue-bao-gpon85898174 mạng-truy-nhập-quang-đến-thue-bao-gpon
85898174 mạng-truy-nhập-quang-đến-thue-bao-gpon
 
Squid proxy linux
Squid proxy linuxSquid proxy linux
Squid proxy linux
 
Alcatel lucent pt telkom turn-up guide v1
Alcatel lucent pt telkom turn-up guide v1Alcatel lucent pt telkom turn-up guide v1
Alcatel lucent pt telkom turn-up guide v1
 
Slide nagios
Slide nagiosSlide nagios
Slide nagios
 
Ngon ngu lap trinh c# tieng viet - bach khoaaptech.com
Ngon ngu lap trinh c# tieng viet - bach khoaaptech.comNgon ngu lap trinh c# tieng viet - bach khoaaptech.com
Ngon ngu lap trinh c# tieng viet - bach khoaaptech.com
 
giai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmp
giai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmpgiai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmp
giai-phap-an-ninh-trong-kien-truc-quan-tri-mang-snmp
 
Lap trinh website dotnet c#
Lap trinh website dotnet c#Lap trinh website dotnet c#
Lap trinh website dotnet c#
 
Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...
Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...
Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...
 
Lập trình c# cơ bản full
Lập trình c# cơ bản fullLập trình c# cơ bản full
Lập trình c# cơ bản full
 
Mạng quang thụ động pon và công nghệ cáp quang thuê bao ftth tài liệu, tai ...
Mạng quang thụ động pon và công nghệ cáp quang thuê bao ftth tài liệu, tai ...Mạng quang thụ động pon và công nghệ cáp quang thuê bao ftth tài liệu, tai ...
Mạng quang thụ động pon và công nghệ cáp quang thuê bao ftth tài liệu, tai ...
 
Các giải pháp lập trình C#
Các giải pháp lập trình C#Các giải pháp lập trình C#
Các giải pháp lập trình C#
 

Similar to Tổng quan về Access List

Chuong04_ACL.NAT_update (2).pptx
Chuong04_ACL.NAT_update (2).pptxChuong04_ACL.NAT_update (2).pptx
Chuong04_ACL.NAT_update (2).pptxTienTran779192
 
Báo cáo thực tập athena trần trọng thái
Báo cáo thực tập athena trần trọng tháiBáo cáo thực tập athena trần trọng thái
Báo cáo thực tập athena trần trọng tháitran thai
 
Báo cáo thực tập tuần 5 - Phạm Tiến Quân (word)
Báo cáo thực tập tuần 5 - Phạm Tiến Quân (word)Báo cáo thực tập tuần 5 - Phạm Tiến Quân (word)
Báo cáo thực tập tuần 5 - Phạm Tiến Quân (word)Quân Quạt Mo
 
Báo cáo thực tập tuần 5 - Phạm Tiến Quân
Báo cáo thực tập tuần 5 - Phạm Tiến QuânBáo cáo thực tập tuần 5 - Phạm Tiến Quân
Báo cáo thực tập tuần 5 - Phạm Tiến QuânQuân Quạt Mo
 
Cai dat va_cau_hinh_iptables
Cai dat va_cau_hinh_iptablesCai dat va_cau_hinh_iptables
Cai dat va_cau_hinh_iptablesNguyen Van Hung
 
Bao cao cuoi ky
Bao cao cuoi kyBao cao cuoi ky
Bao cao cuoi kykanzakido
 
Báo cáo thực tập athena trần trọng thái
Báo cáo thực tập athena trần trọng tháiBáo cáo thực tập athena trần trọng thái
Báo cáo thực tập athena trần trọng tháitran thai
 
Lab 2 phân loại dùng mô hình mqc
Lab 2 phân loại dùng mô hình mqcLab 2 phân loại dùng mô hình mqc
Lab 2 phân loại dùng mô hình mqcVNG
 
De cuong thiet bi ngoai vi
De cuong thiet bi ngoai viDe cuong thiet bi ngoai vi
De cuong thiet bi ngoai viba191992
 
CCNA Lab Guide Tieng Viet v4.0.pdf
CCNA Lab Guide Tieng Viet v4.0.pdfCCNA Lab Guide Tieng Viet v4.0.pdf
CCNA Lab Guide Tieng Viet v4.0.pdfThngHunh59
 
Cấu hình osp fv3 cơ bản
Cấu hình osp fv3 cơ bảnCấu hình osp fv3 cơ bản
Cấu hình osp fv3 cơ bảnVNG
 

Similar to Tổng quan về Access List (20)

Chuong04_ACL.NAT_update (2).pptx
Chuong04_ACL.NAT_update (2).pptxChuong04_ACL.NAT_update (2).pptx
Chuong04_ACL.NAT_update (2).pptx
 
Báo cáo thực tập athena trần trọng thái
Báo cáo thực tập athena trần trọng tháiBáo cáo thực tập athena trần trọng thái
Báo cáo thực tập athena trần trọng thái
 
Acl
AclAcl
Acl
 
Báo cáo thực tập tuần 5 - Phạm Tiến Quân (word)
Báo cáo thực tập tuần 5 - Phạm Tiến Quân (word)Báo cáo thực tập tuần 5 - Phạm Tiến Quân (word)
Báo cáo thực tập tuần 5 - Phạm Tiến Quân (word)
 
Bao cao final
Bao cao finalBao cao final
Bao cao final
 
Báo cáo thực tập tuần 5 - Phạm Tiến Quân
Báo cáo thực tập tuần 5 - Phạm Tiến QuânBáo cáo thực tập tuần 5 - Phạm Tiến Quân
Báo cáo thực tập tuần 5 - Phạm Tiến Quân
 
Cai dat va_cau_hinh_iptables
Cai dat va_cau_hinh_iptablesCai dat va_cau_hinh_iptables
Cai dat va_cau_hinh_iptables
 
Báo cáo tuần 2
Báo cáo tuần 2Báo cáo tuần 2
Báo cáo tuần 2
 
Baithuchanhso4 5
Baithuchanhso4 5Baithuchanhso4 5
Baithuchanhso4 5
 
Bao cao cuoi ky
Bao cao cuoi kyBao cao cuoi ky
Bao cao cuoi ky
 
Báo cáo thực tập athena trần trọng thái
Báo cáo thực tập athena trần trọng tháiBáo cáo thực tập athena trần trọng thái
Báo cáo thực tập athena trần trọng thái
 
Lab 2 phân loại dùng mô hình mqc
Lab 2 phân loại dùng mô hình mqcLab 2 phân loại dùng mô hình mqc
Lab 2 phân loại dùng mô hình mqc
 
De cuong thiet bi ngoai vi
De cuong thiet bi ngoai viDe cuong thiet bi ngoai vi
De cuong thiet bi ngoai vi
 
CCNA Lab Guide Tieng Viet v4.0.pdf
CCNA Lab Guide Tieng Viet v4.0.pdfCCNA Lab Guide Tieng Viet v4.0.pdf
CCNA Lab Guide Tieng Viet v4.0.pdf
 
lab ccna ttg v3
lab ccna ttg v3lab ccna ttg v3
lab ccna ttg v3
 
An toan-mang
An toan-mangAn toan-mang
An toan-mang
 
Cấu hình osp fv3 cơ bản
Cấu hình osp fv3 cơ bảnCấu hình osp fv3 cơ bản
Cấu hình osp fv3 cơ bản
 
Linux policy routing
Linux policy routingLinux policy routing
Linux policy routing
 
OSPF
OSPFOSPF
OSPF
 
Chương 1
Chương 1Chương 1
Chương 1
 

Tổng quan về Access List

  • 1. TỔNG QUAN VỀ ACCESS-LIST I- MỘT SỐ KHÁI NIỆM VỀ ACCESS-LIST 1. ACL(Access control lists) là gì? - ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port. 2. Tại sao phải sữ dụng ACLs? - Quản lý các IP traffic - Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các packet qua router • Chức năng: +Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing) + Thuận tiện cho việc lọc gói tin ip + Cung cấp tính sẵn sàn mạng cao 3. Các loại ACLs Có 2 loại Access lists là: Standard Access lists và Extended Access lists
  • 2. - Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích (Destination). - Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport layer header”. Nên đặt gần nguồn (source). 4. Cách đặt ACLs. a- Inbound ACLs. + Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound interface). Tại đây những gói tin sẽ “dropped” nếu không trùng với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao (transmission). b- Outbound ACLs. +Outbound: là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound queue). 5. Hoạt động của ACLs. - ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit. • Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách. • Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích. • Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không. Nếu không thì packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó. 6. Một số điểm cần lưu ý * Chỉ có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi interface. Một interface có thể có nhiều ACL. * Router không thể lọc traffic mà bắt đầu từ chính nó. * Câu lệnh nào đặt trước thì xử lý trước. Khi 1 câu lệnh mới thêm vào danh sách, nó sẽ đặt cuối danh sách. * Standard ACLs: Nên đặt gần đích của traffic.
  • 3. * Extended ACLs: Nên đặt gần nguồn của traffic. * Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo chiều “OUT” II- CẤU HÌNH ACCESS-LIST (ACLs) 1. Standard Access lists. #: Standard ACLs sử dụng số từ 1 -> 99 hay 1300 -> 1999. Có 2 bước để tạo ACLs: + Định nghĩa danh sách ACLs để đặt vào interface. router(config)#access-list [#] [permit deny] [wildcard mask] [log] Hoặc là : router(config)#access-list [#] [permit deny] [host any] ßThường thì ta dùng lệnh này Sau đó đặt danh sách(ACLs) vào interface trên router mà ta muốn chặn gói tin ngay tại đó. router(config)#interface [interface-number] router(config-if)#ip access-group [#] [in out] – interface access control Ví dụ cụ thể
  • 4. Ta thực hiện trên mô hình sau đã đuợc cấu hình hoạt động trên giao thức RIP các router và pc đã ping được với nhau. • Tạo access list tại global config mode: Tạo access-list trên R2 cấm PC0(10.0.0.2) vào mạng 220.0.0.0ngay tại cổng vào của Router 2. R2(config)# access-list 1 deny host 10.0.0.2 R2(config)# access-list 1 permit any <<< Chú ý sau khi đã liệt kê các danh sách địa chi muốn cấp hoặc cho phép thì cuối cùng phải đặt lệnh permit any bởi vì mặc định của router sau khi ta thiêt lập danh sách thì kể từ sau đó router sẽ deny tất cả, vì vậy ta phải dùng lệnh permit any để thay đổi. • Áp access-list vào cổng. –Áp access-list này vào Inbound s0/3/0 trên R2. –Khi áp access-list vào một cổng, xem như đang trên router. Vì vậy nếu muốn cấm dữ liệu đi ra khỏi cổng, ta dùng từ khóa “out”; muốn cấm dữ liệu vào một cổng, ta dùng từ khóa “in”. R2(config)# interface s0/3/0 R2(config-if)# ip access-group 1 out
  • 5. Sau đó ta vào PC0(10.0.0.2) dùng lệnh ping vào mạng 220.0.0.0 để kiểm tra.
  • 6. Ta thử dùng máy PC1(10.0.0.3) ping vào mạng 220.0.0.0.
  • 7. –Vì standard access-list chỉ kiểm tra được địa chỉ nguồn nên phải áp access-list vào cổng gần đích nhất. 2. Extended Access lists *: Extanded ACLs sử dụng số từ 100 -> 199 hay 2000 -> 2699. Cũng giống standard ACL và thêm một số cách lọc gói tin như: + Source and destination IP address (Địa chỉ nguồn địa chỉ đích) + IP protocol – TCP, UDP, ICMP, and so on( cấm giao thức) + Port information (WWW, DNS, FTP, TELNET, etc)( cấm các dịch vụ thông qua các cổng hoạt động của nó) Các lệnh cấu hình: Ta cũng thực hiện 2 bước giống như Standard ACLs • Tạo access list tại global config mode: router(config)#access-list [#] [permit deny] [protocol] [wildcard mask] [operator source port] [destination address] [wildcard mask] [operator destination port] [log] Hoặc router(config)#access-list [#] [permit deny] [protocol] [host] [host] [destination address][ lt, gt, neq, eq, range] [port number]
  • 8. • Áp access-list vào cổng. router(config)#interface [interface-number] router(config-if)#ip access-group [#] [in out] – interface access control Ví dụ: Tạo ACls tại router R1 cấm R2 truy cập vào Router 1 dưới giao thức TCP bằng dịch vụ Telnet. Đầu tiên ta mở dịch vụ telnet cho các Router Tại global config mode ta gõ các lệnh sau. router(config)#line vty 0 4 router(config)#password telnet <<<<Đặt pass tùy ý cho telnet router(config)#login
  • 9. Khi cấu hình xong ta đứng tại 1 Router nào đó telnet qua Các router còn lại để Test.
  • 10. Vậy là các Router đã telnet được với nhau Bây giờ ta thiết lập ACL tại R1 R1(config)# access-list 101 deny TCP host 200.0.0.2 host 200.0.0.1 eq telnet R1(config)# access-list 101 deny tcp any any Áp ACL vào cổng muốn chặn lại ngay đó. R1(config)# interface s0/3/0 R1(config-if)#ip access-group 101 in
  • 11. Sau khi cấu hình xong ta Telnet thử Đứng tại Router 2 Telnet qua Router 1 bằng lệnh R2#telnet 200.0.0.1
  • 12. Router 1 không trả lời vậy là ta đã cấu hình thành công Một số port thông dụng: ——————————————————————– Port Number ——-TCP port names —-UDP port names ——————————————————————– 6 ———————-TCP————————————– 21———————-FTP————————————– 23 ———————TELNET——————————– 25 ———————SMTP———————————— 53———————————————-DNS————- 69 ———————————————TFTP————- 80 ———————WWW———————————– 161 ——————————————–SNMP———– 520 ——————————————–RIP———— III QUẢN LÝ CÁC ACCESS-LIST (ACLs) • Hiển thị tất cả ACLs đang sử dụng. Router(config)#show running-config • Xem ACLs hoạt động trên interface nào đó. Router(config)#show interface [ # ]
  • 13. • Xem việc đặt và hướng đi của ip ACLs: Router(config)#show ip interfaces [ # ] • Xem những câu lệnh ACLs: Router(config)#show access-list [ # ] • Hiển thị tất cả ip ACLs: Router#show ip access-list • Hiển thị ip ACL 100: Router#show ip access-list 100 • Xóa bộ đếm (to clear the counters use): router(config)#show access-list [ # ] router(config)#clear access-list counter [ # ] • Xóa Access list router(config)#no ip access-list [standard-extended][#] router(config)#interface [interface-number] router(config-if)#no access-list [#] [permit deny] [wildcard mask]